小贝子编程

哪个 Linux 程序将失败的 sshd 登录尝试写入 /var/log/btmp Centos 7



失败的 ssh 尝试被记录到/var/log/btmp 中,除非使用用户名的尝试,其中帐户存在于服务器上,例如 root。

最初我认为/etc/pam.d/sshd 中的一个模块处理 btmp 日志记录,并且可能会以某种方式过滤尝试,但我只能找到有关成功登录尝试的信息pam_lastlog

我是否在正确的区域,sshd -> pam ->日志文件?

是否可能应用筛选器来忽略现有用户尝试?

注意:我禁用了密码和根 ssh 登录。 奔跑的仙人 7

在这种情况下,sshd 负责将失败的登录尝试写入/var/log/btmp 文件。

引自维基百科

这些文件不是由任何给定的PAM模块(如pam_unix.so或pam_sss.so(设置的,而是由执行操作的应用程序(例如mingetty,/bin/login或sshd(设置的。因此,程序本身有义务记录utmp信息。

上述确认可以在网上找到,比如这个错误报告

虽然 PAM 不负责写入/var/log/btmp,但pam_lastlog可以写入/var/log/wtmp(登录和注销的记录(,并且可以从/var/log/btmp 读取

/var/log/messages

您可以通过 fail2ban 实用程序控制它。

我已经实施了并且工作正常。

沙曼

实际上,sshd 失败,成功登录记录在"/var/log/audit/audit.log"。 下面的日志文件摘录可帮助您了解其工作原理

type=USER_AUTH msg=audit(1531228962.485:1069): pid=4487 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_unix acct="**root**" exe="/usr/sbin/sshd" hostname=**192.168.0.16** addr=192.168.0.16 terminal=ssh res=**success**'
type=USER_ACCT msg=audit(1531228962.488:1070): pid=4487 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:accounting grantors=pam_unix,pam_localuser acct="root" exe="/usr/sbin/sshd" hostname=192.168.0.16 addr=192.168.0.16 terminal=ssh res=success'
type=CRYPTO_KEY_USER msg=audit(1531228962.489:1071): pid=4487 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destroy kind=session fp=? direction=both spid=4488 suid=74 rport=50181 laddr=**192.168.0.10** lport=22  exe="/usr/sbin/sshd" hostname=? addr=192.168.0.16 terminal=? res=success'
type=USER_AUTH msg=audit(1531228962.490:1072): pid=4487 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=success acct="root" exe="/usr/sbin/sshd" hostname=? addr=192.168.0.16 terminal=ssh res=success'
type=CRED_ACQ msg=audit(1531228962.491:1073): pid=4487 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=pam_unix acct="root" exe="/usr/sbin/sshd" hostname=192.168.0.16 addr=192.168.0.16 terminal=ssh res=success'
type=LOGIN msg=audit(1531228962.491:1074): pid=4487 uid=0 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 old-auid=4294967295 auid=0 old-ses=4294967295 ses=27 res=1
type=USER_ROLE_CHANGE msg=audit(1531228962.653:1075): pid=4487 uid=0 auid=0 ses=27 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='pam: default-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 selected-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 exe="/usr/sbin/sshd" hostname=192.168.0.16 addr=192.168.0.16 terminal=ssh res=success'
type=USER_START msg=audit(1531228962.669:1076): pid=4487 uid=0 auid=0 ses=27 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:session_open grantors=pam_selinux,pam_loginuid,pam_selinux,pam_namespace,pam_keyinit,pam_keyinit,pam_limits,pam_systemd,pam_unix,pam_lastlog acct="root" exe="/usr/sbin/sshd" hostname=192.168.0.16 addr=192.168.0.16 terminal=ssh res=success'
type=CRYPTO_KEY_USER msg=audit(1531228962.675:1077): pid=4493 uid=0 auid=0 ses=27 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=fd:b6:92:76:06:cb:7d:47:02:9f:5d:a9:78:d9:8b:f0 direction=? spid=4493 suid=0  exe="/usr/sbin/sshd" hostname=? addr=192.168.0.16 terminal=pts/4 res=success'
type=CRYPTO_KEY_USER msg=audit(1531228962.675:1078): pid=4493 uid=0 auid=0 ses=27 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=21:5c:ac:e6:f7:ec:c1:b8:61:b7:d1:90:30:8c:9e:8c direction=? spid=4493 suid=0  exe="/usr/sbin/sshd" hostname=? addr=192.168.0.16 terminal=pts/4 res=success'
type=CRYPTO_KEY_USER msg=audit(1531228962.675:1079): pid=4493 uid=0 auid=0 ses=27 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=fa:be:5c:4d:09:b2:b0:85:d3:67:43:d0:5e:54:5b:1d direction=? spid=4493 suid=0  exe="/usr/sbin/sshd" hostname=? addr=192.168.0.16 terminal=pts/4 res=success'
type=USER_LOGIN msg=audit(1531228962.677:1080): pid=4493 uid=0 auid=0 ses=27 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=192.168.0.16 addr=192.168.0.16 terminal=/dev/pts/4 res=success'
type=USER_START msg=audit(1531228962.677:1081): pid=4493 uid=0 auid=0 ses=27 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=192.168.0.16 addr=192.168.0.16 terminal=/dev/pts/4 res=success'
type=CRED_REFR msg=audit(1531228962.678:1082): pid=4493 uid=0 auid=0 ses=27 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=pam_unix acct="root" exe="/usr/sbin/sshd" hostname=192.168.0.16 addr=192.168.0.16 terminal=ssh res=success'

这是失败的日志提取

type=USER_AUTH msg=audit(1531228891.558:1025): pid=4245 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/sbin/sshd" hostname=192.168.0.16 addr=**192.168.0.16** terminal=ssh res=**failed**

相关内容

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium